
Los investigadores de ciberseguridad han arrojado luz sobre una nueva puerta trasera basada en Golang que utiliza el telegrama como mecanismo para las comunicaciones de comando y control (C2).
Netskope Amenazing Labs, que detallaban las funciones del malware, lo describieron posiblemente como de origen ruso.
“El malware se compila en Golang y una vez ejecutado actúa como una puerta trasera”, el investigador de seguridad Leandro Fróes dicho En un análisis publicado la semana pasada. “Aunque el malware parece estar en desarrollo, es completamente funcional”.
Una vez lanzado, la puerta trasera está diseñada para verificar si se ejecuta en una ubicación específica y usando un nombre específico: “C: Windows temp svchost.exe” – y si no, lee su propio contenido, los escribe a esa ubicación , y crea un nuevo proceso para lanzar la versión copiada y terminarse.
Un aspecto notable del malware es que usa un biblioteca de código abierto Eso ofrece enlaces de golang para la API BOT de telegrama para fines C2.
Esto implica interactuar con la API BOT Telegram para recibir nuevos comandos originales de un chat controlado por el actor. Admite cuatro comandos diferentes, aunque actualmente solo se implementan tres de ellos –
- /CMD – Ejecutar comandos a través de PowerShell
- /Persist – Relarse en “C: Windows temp svchost.exe”
- /Captura de pantalla: no implementado
- /SelfDestruct – Elimine el archivo “C: Windows Temp svchost.exe” y termina a sí mismo
La salida de estos comandos se envía de regreso al canal Telegram. Netskope dijo que el comando “/captura de pantalla” envía el mensaje “captura de pantalla capturada” a pesar de que no se está desarrollando por completo.
Las raíces rusas del malware se explican por el hecho de que la instrucción “/cmd” envía el mensaje “Ingrese el comando:” en ruso al chat.
“El uso de aplicaciones en la nube presenta un desafío complejo para los defensores y los atacantes lo saben”, dijo Fróes. “Otros aspectos, como lo fácil, es establecer e comenzar el uso de la aplicación son ejemplos de por qué los atacantes usan aplicaciones como esa en diferentes fases de un ataque”.





